«Я как раз сижу сейчас, п***у с дисков у него». Учасниками хакерського угрупування Armagedon виявилися штатні співробітники ФСБ — подробиці
Служба безпеки України, Офіс генерального прокурора та Головне управління розвідки Міноборони ідентифікували учасників відомого хакерського угрупування Armagedon. Хакерами виявилися кадрові співробітники Федеральної служби безпеки Росії. Наразі це найбільша в історії деанонімізація учасників так званого state-sponsored угрупування.
На брифінгу для ЗМІ очільник Департаменту кібербезпеки Служби безпеки України Ілля Вітюк продемонстрував докази того, що спецслужби Росії використовують хакерські угруповання проти України. Зокрема, угрупування Armagedon виявилося спеціальним проєктом ФСБ РФ. Armagedon дислокується в окупованому Криму та підзвітний Москві.
Ілля Вітюк назвав безпрецедентними результати проведеної спецоперації і зазначив, що подібної операції не було в історії українських спецслужб.
«Здебільшого усім відомо, що за тим чи іншим угрупуванням стоїть конкретна держава, проте докази цього зібрати дуже складно. Нам же вдалося довести це в кримінально-процесуальній площині, що можна назвати проривом. Це взірець належної якості роботи. Це була дуже кропітка робота Департаменту кібербезпеки СБУ та ГУР Міноборони», — підкреслив Вітюк.
В СБУ продемонстрували перехоплені розмови співробітників ФСБ, де вони хваляться крадіжками даних, скаржаться на маленькі зарплати і на те, що їх (імовірно, перебіжчиків на бік окупанта — НВ) керівництво не нагороджує за службу.
НВ розповідає подробиці найбільшої в історії українських спецслужб деанонімізації учасників так званого state-sponsored угрупування.
Хто такі Armagedon: контекст
Угрупування Armagedon, або Gamaredon (відоме також як Primitive Bear, Gamaredon Group, Winterflounder, BlueAlpha, Blue Otso, Iron Tilden), дослідники кіберзагроз ідентифікують як так зване state-sponsored угрупування (угрупування кіберзлочинців, яке отримує фінансову та/чи іншу підтримку від тієї чи іншої держави). За даними Cisco Talos, угрупування є активним принаймні з 2013 року та протягом багатьох років у звітах розслідувачів асоціюється з проросійською діяльністю.
«Воно надзвичайно агресивне і зазвичай не пов’язане з широковідомими кампаніями. Воно надзвичайно активне — нарівні з деякими з найбільш плідних кібербанд», — зауважують дослідники з Cisco і додають: «Gamaredon не є середньостатистичним APT (угрупування висококваліфікованих хакерів, зі значними фінансовими й технічними можливостями — Ред.). Це надзвичайно агресивна група […], що підтримується значною інфраструктурою, яку нечасто можна побачити в APT-угрупуваннях. […] Ця група націлена на всіх — від банків в Африці до навчальних закладів у США».
У лютому 2021 Національний координаційний центр кібербезпеки при РНБОУ повідомляв, що хакери угрупування Gamaredon стоять за кібератакою на Систему електронної взаємодії органів виконавчої влади України — її метою було масове зараження інформаційних ресурсів держорганів, оскільки саме з використанням цієї системи здійснюється документообіг у більшості органів державної влади.
Згідно з даними українських спецслужб, озвученими під час брифінгу в СБУ, учасники Armagedon здійснили понад 5 тисяч кібератак (з 2014 року) на урядові мережі України, обираючи об'єктами своїх нападів держоргани, об'єкти критичної інфраструктури та бізнес. Зловмисники намагалися отримати контроль над об'єктами критичної інфраструктури, збирали та викрадали інформацію з обмеженим доступом і проводили так звані «акції інформаційно-психологічного впливу». Всього, за словами Іллі Вітюка, об'єктами атак з 2014 року стали понад 1,5 тисячі підприємств, установ та організацій в Україні.
— Основна мета угрупування — саме атаки на об'єкти критичної інфраструктури України. З 2019 року кількість атак, проведених угрупуванням Armagedon, стала критичною для української кібербезпеки, — зазначив Ілля Вітюк. — Основне призначення угрупування — проведення, зокрема, і так званих гібридних кібератак. Нами було отримано величезний масив даних, вдалося встановити виконавців та замовників, зібрати дані про інфраструктуру, подолати засоби анонімізації та дістатися конкретного обладнання.
Штатні хакери ФСБ: імена і посади
За словами Іллі Вітюка, до складу групи входять 2 групи офіцерів ФСБ — кадрові співробітники, прикомандировані з території Росії та колишні співробітники СБУ, що перейшли на службу до Росії.
Українські спецслужби встановили, що учасники угрупування Armagedon — кадрові співробітники Федеральної служби безпеки РФ, які брали участь в окупації Криму, та колишні українські правоохоронці, котрі перейшли на службу до країни-агресора. Як стало відомо, Armagedon дислокується в Криму, підпорядковується 18-му Центру інформаційної безпеки ФСБ РФ (Москва) та є структурним підрозділом місцевого «управління ФСБ по республіці Крим та місту Севастополь».
П’ятьом фігурантам спецоперації СБУ складено підозри за ст. 111 КК України (державна зрада).
Загалом, заявили в спецслужбі, як «хакери з угрупування Armagedon» ідентифіковані наразі 5 співробітників «кримського ФСБ»:
Склянко Олександр Миколайович (05.08.1973) — Заступник начальника 4 напрямку Служби контррозвідувальних операцій (КРО) Управління ФСБ РФ по Республіці Крим та місту Севастополю.
Черних Микола Сергійович (12.10.1978) — Начальник відділу 4 напрямку Служби КРО Управління ФСБ РФ по Республіці Крим та місту Севастополю.
Та три співробітники підзвітного Миколі Черниху відділу — Старченко Антон Олександрович (28.11.1985), Мірошниченко Олександр Валерійович (16.09.1984) та Сущенок Олег Олександрович (12.10.1989).
Зазначимо, що повні тезки цих людей фігурують на сайті Миротворець як колишні співробітники СБУ, котрі зрадили присязі і перейшли на бік ворога.
Також сьогодні в газеті «Урядовий кур'єр» було опубліковано повістки про 8 осіб, 5 із яких фігурують у матеріалах брифінгу, — їх викликають до Офісу генерального прокурора для вручення повідомлення про підозру та допиту у якості підозрюваного.
Як з’ясували українські спецслужби, співробітники ФСБ-«Armagedon» підзвітні 18-му центру інформаційної безпеки ФСБ РФ (Москва, Росія) та підпорядковуються керівництву так званого «Управління ФСБ РФ по республіці Крим та м. Севастополь» (ті ж самі кадрові ФСБшники, про яких заявив Ілля Вітюк) — начальнику «управління» Леоніду Володимировичу Михайлюку, заступнику начальника Служби контррозвідувальних операцій «управління» Єгору Володимировичу Кундікову та начальнику 4 напрямку Служби контррозвідувальних операцій «управління» Ігорю Валерійовичу Носову.
Що робив Armagedon: фрагменти розмов
На брифінгу в СБУ продемонстрували відеоуривки з перехоплених розмов хакерів із кримського ФСБ, де вони хваляться тим, що їм вдалося перехопити документи з обмеженим доступом в одній із українських держструктур. В одному з епізодів Микола Черних доповідає Олександру Склянко про те, що до «об'єкта хтось прийшов, вони вставили флешку з криптоконтейнером (спеціальна зашифрована папка, що не відкривається без паролю), розкрили і кинули на друк», а Черних «встиг це зняти».
В іншому епізоді ФСБ-Armagedon змогли встановити програму-шпигуна на комп’ютер одного з чиновників. Черних доповідав Склянко, що зміг встановити на ПК чиновника VNC (ПЗ для віддаленого доступу до комп’ютера) і рекомендував, щоб «Тоха на себе завів» і поставив Т-05 (версію вірусу власної розробки ФСБ).
Українські спецслужби з’ясували, що для крадіжки даних в Armagedon розробляли унікальний код. На одному із продемонстрованих аудіозаписів, Черних доповідає своєму начальнику, що підготував «тіло» (спеціально розроблений вірус), для того, щоб у об'єкта атаки «сп*** (вкрасти) криптоконтейнер» і просить співробітника «Саню Мірошниченка» копіювати його на флешку, «залити на сервак» і «стартонути». Склянко обіцяє передати прохання Мірошниченку, якщо той «не пішов на обід».
Судячи з перехоплених розмов, хакери від ФСБ повністю копіювали вміст комп’ютерів, які їх особливо цікавили в Україні (до яких могли отримати доступ).
«Я как раз сижу сейчас, п***у (ворую — Ред.) с дисков у него», — доповідав Черних своєму начальнику. В цей час їх розмову записували в СБУ.
Зарплата від ФСБ і «кидки» від начальства
На те, що Armagedon — кадрові співробітники російської ФСБ, вказують і розмови, де «хакери» обговорюють свої зарплати, «вещёвку» (компенсації за предмети речового майна) та відсутність нагород від керівництва кримського «управління» Федеральної служби безпеки Росії.
Так Олександр Склянко скаржився Миколі Черниху на забезпечення:
«У меня плюс 15, например. У Сани — плюс 12. Непонятно, что это… Там говорили, что в качестве премиальных… Премиальный фонд всем там на 16% подняли плюс „вещёвка“ за этот год. Да, сумма-то небольшая, в принципе…»
В СБУ зазначають: до зрадників, які перейшли на службу в ФСБ, в самій ФСБ ставляться не найкращим чином.
Той же Склянко в одній із перехоплених розмов скаржився Черниху, що знову не отримав «медальку» і не пішов на «торжественное» — офіційне святкування Дня працівника органів безпеки Російської Федерації.
«Опять кинули?», — цікавиться Черних.
«Ну, [медаль] там же, где и часы мои…», — зітхає Склянко і розповідає підлеглому, що натомість «Єгор Володимирович» (заступник начальника Служби контррозвідувальних операцій «кримського управління» ФСБ Єгор Кундіков) отримав медаль, але «пісочну» (медаль за вислугу років) — за 20 років служби.
«А, ну тогда *** (неценз.), как говорится», — резюмує Черних.- «А то я думал, что Вас кинули, а он получил, ***»
Що далі
Сьогодні, говорять в Службі безпеки України, українські спецслужби продовжують слідчі дії та документують «діяльність» співробітників ФСБ РФ і проводять низку заходів для блокування агресії Російської Федерації проти України в кіберпросторі.
За словами Іллі Вітюка, слідство наразі перебуває в активній фазі — фігурантам розслідування готуються підозри за ознаками злочинів, передбачених статтями 114 (шпигунство), 361, 361−1 Кримінального кодексу України.
«Це ще не кінець розслідування. Строку давності за злочини проти національної безпеки відсутні», — заявив Вітюк і додав, що ці особи будуть оголошені у міжнародний розшук, та проводиться робота з оголошення громадянам іншої країни підозри в шпигунстві.
На діяльність групи Armagedon деанонімізація справить як мінімум тимчасовий вплив — російським спецслужбам потрібно буде переформатувати роботу, провести внутрішнє розслідування тощо.
«Але [атаки не припиняться], якщо стоїть задача політичного керівництва… Задача завжди йде від керівництва держави», — додав Ілля Вітюк.
Очільник департаменту кібербезпеки СБУ також зазначив, що наразі цей епізод — доказ, яким можна оперувати на світовій арені. В тому числі, в питанні посилення санкцій та введені санкцій проти Росії.
За словами Вітюка, після виявлення угрупування, кібератаки продовжаться, адже гібридна війна триває, саме тому обєкти критичної інфрастуруктури повинні більше уваги приділяти питанням безпеки.
«СБУ зі свого боку вживає всіх заходів для виявлення та локалізації кіберзагроз» — заявив Вітюк і додав, що українські спецслужби слідкують одразу за цілим рядом APT-груп, що спонсоровані державою.
